Очередной попавшийся на порно-удочку компьютер просит помощи! После загрузки на центр рабочего стола выскакивает окошко Internet Explorer с открытой страничкой. Как обычно: сверху фото, снизу - текст. Картинок на этот раз всего две, но они разрешают себя потрогать и затащить в угол. Попытка вылечить больного по телефону не удалась, придется познакомиться с маньяком лично.

Что ж, серьезного тут ничего нет, посмотрим, что нам расскажет HijackThis. Пуск --> Выполнить ... - это слишком много нажимать. Win+R - уже привычная комбинация клавиш, как Ctrl+Shift или Ctrl+Alt+Del. Но что такое? Окошко мелькнуло на 25 сотых секунды и пропало! Ну кому помешала безобидная строка запуска? Неужели у пользователя больше нет возможности запустить файл? Тем более, что даже диспетчер задач вирус почему-то забыл отключить. Открываем Total Commander, лезем на флешку в папку Hijack, запускаем. Все отлично. Не блокируется, не перезагружается. В-общем, я бы сказал, ведет себя вполне прилично.

В логах интересного немного. Во-первых, замечаю, что уж очень много копий regedit.exe (порядка 20) запущено в данный момент. Проверяю путь: c:\windows\regedit.exe, да вроде все нормально. Но зачем их столько??? Смотрим дальше... А дальше видим смешную пародию на маскировку: файл c:\Program Files\Common Files\SysAware Soft\svhost.exe. И это наш первый кандидат на вылет. На всякий случай запишем c:\windows\system32\cnab4rpk.exe - уж очень имя подозрительное, да и c:\windows\system32\killcopy.exe мало того, что имеет неславянскую внешность, так еще и автозагружается с непонятными ключами. Файл c:\Documents and Settings\User\Application data\FLAGLI~1\Lies list.exe даже если и не является вирусом, не опознается хозяином компьютера как не подлежащий удалению, поэтому также смело заносим в килл-лист только из-за места его рождения. До кучи еще какой-то нехороший человек испоганил файл hosts, прописав вместо odnoklassniki.ru и vkontakte.ru адреса 208.109.46.212 и 69.10.53.230. Попутно, кстати, убедимся, что NameServer действительно принадлежит провайдеру.

Пришло время вызвать хирурга. Запускаем AVZ и первым делом посмотрим на диспетчер процессов. Когда назойливое окошко с некрасивыми порно-картинками пропадает с экрана по нажатию всего одной кнопки, это всегда производит впечатление на пользователей. В этот момент они наверняка думают, вот блин, я б и сам так смог, если б знал, куда нажимать. Осмотрев список запущенных приложений, первым делом я решил убить нашего "пародиста" c:\Program Files\Common Files\SysAware Soft\svhost.exe. Как и ожидалось, тетьки испугались и спрятались с глаз долой, как Дамблдор с портрета из фильмов про Гарри Поттера. Что ж, теперь никто не мешает посканировать систему. Стандартный скрипт №3 покажет нам, кто еще не успел спрятаться.

После перезагрузки естественно сиськи показались снова, чем привели в недолгое замешательство пользователя. Но ведь внимательные читатели наверняка заметили, что мы еще ничего не ампутировали больному. Повторим процедуру исчезновения. В диспетчере процессов AVZ отключаем svhost.exe, чтобы никто не мешался на экране при запуске второго скрипта. После окончания сканирования остается только написать собственный скрипт для убиения нехороших программ.

begin
  SetAVZGuardStatus(True);
  SearchRootkit(true, true);
  QuarantineFile('C:\DOCUME~1\User\APPLIC~1\FLAGLI~1\Lies list.exe','');
  QuarantineFile('c:\windows\regedit.exe', '');
  QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe', '');
  QuarantineFile('c:\windows\system32\killcopy.exe', '');
  DeleteFile('C:\DOCUME~1\User\APPLIC~1\FLAGLI~1\Lies list.exe');
  DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
  BC_ImportDeletedList;
  ExecuteSysClean;
  BC_Activate;
  RebootWindows(true);
end.

 

Попавший в карантин regedit.exe оказался чистым, а вот c:\Program Files\Common Files\SysAware Soft\svhost.exe на virustotal.com определялся только 8 антивирусами из 41 в основном как Trojan.Win32.Ransom (в классификации некоего Ikarus), а Касперский, Доктор Вэб и NOD32 считали этот файл чистым. c:\windows\system32\cnab4rpk.exe оказался "запчастью" от драйверов принтера Canon, а killcopy.exe - какая-то программа для копирования по сети. Убивать не стал, поскольку под пытками она не созналась в измене Родине.

Дополнительно  оказалось, что ярлыки запуска Opera и Internet Explorer изменились на c:\Program Files\Common Files\SysAware Soft, куда были перенесены оба исполняемых файла. Порекомендовал без самодеятельности тупо обновить с интернета Оперу и Ослика IE. Так надежнее...

UPD Наконец-то вредоносный файл пометил Касперский. И мы тоже запишем, что в c:\Program Files\Common Files\SysAware Soft\svhost.exe прячется Trojan-Ransom.Win32.PinkBlocker.bks